gpt4 book ai didi

docker - 如何在容器中与 docker 客户端正确交互

转载 作者:行者123 更新时间:2023-12-02 19:34:48 25 4
gpt4 key购买 nike

我正在用 flask 编写一个小应用程序,它旨在与 docker api 交互以便按需运行容器。我想在 docker 容器中部署这个应用程序。但是,我知道挂载 docker 套接字相对不好,因为它在本地主机上具有 root 权限。

是否有适当的方法来访问容器内的 docker api 以避免这个警告?

最佳答案

为什么将 Docker 套接字安装到非特权容器是个坏主意?
为了将 unix 套接字挂载到 Docker 容器,您需要更改 Docker 守护程序套接字的权限。显然,这可以使非 root 用户能够访问 Docker 守护程序,如果您担心权限提升攻击,这可能是一个问题。 (source)

我真的需要保护 Docker 套接字吗?
这取决于您的用例。如果您的服务器上有很多用户,并且特别担心非特权用户会影响您的应用程序,那么一定要保护套接字。如果这是一个完全专用于应用程序的虚拟机,那么不安全可能会更容易。

如何不安全地与套接字交互?
只需更改权限( described here ),然后将套接字安装到容器。就是这么简单。

如何安全地与套接字交互?
我认为有两种很好的方法可以做到这一点:

  • 在启用 TLS 身份验证的情况下重新启动 Docker 守护程序。不要访问 unix 套接字,而是使用 HTTPS 访问它。带有签名的 SSL key 。更多关于设置的说明可以找到 here .
  • here 所述,在 unix 套接字上使用授权插件.
  • 关于docker - 如何在容器中与 docker 客户端正确交互,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46858910/

    25 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com